Muchas veces la gente que no trabaja en seguridad me pregunta porque esa
obsesión mía de estar conectado todo el tiempo y alerta de lo que está
pasando, actualizando el buzón de correo electrónico cada poco tiempo y
leyendo lista infinitas de noticias en RSS que vuelven a crecer cada semana con nuevos focos de información que ofrecen nuevos datos de interés.
La respuesta no es demasiado fácil de explicar a la gente que no trabaja
en este area profesional, y a sus ojos acabamos pareciendo adictos a Internet,
pero lo cierto es que tiene su explicación, ya que lo que sucede en
Internet te puede afectar a ti también de forma directa, especialmente
cuando hay un hackeo de un sitio y se publican bases de datos de
usuarios y contraseñas.
El caso de las contraseñas de Adobe
Con la liberación de las contraseñas de la base de datos de usuarios de Abode,
el mundo de la seguridad en la empresa está revuelto. Por supuesto, lo
primero de todo ha sido comidilla que supone que una empresa como Adobe
sufra una intrusión de esta índole, dejando claro que los algoritmos de
almacenamiento de passwords no eran los más adecuados para garantizar
una buena estrategia de Defensa en Profundidad que debería haber terminado con "Si acceden a los hashes que no las pueda crackear fácilmente".
 |
| Figura 1: Tira de XKCD sobre cómo usar las pistas de las passwords para hacer un juego de palabras cruzadas |
Esto ha llevado al
cachondeo en XKCD
que decía que sería divertida una implementación de un juego de
palabras cruzadas usando las pistas que los propios dueños de las
credenciales han dejado junto a sus hashes, y ha terminado
convirtiéndose en un
juego real en Internet.
El análisis de los datos filtrados
Pero lo más importante no es la comidilla que pueda generarse alrededor
de un determinado incidente de seguridad, sino lo que todos los equipos
de seguridad de todas las empresas han tenido que hacer para contener el
impacto de esta intrusión dentro de sus propios sistemas. Aquí es donde
los equipos CERT de cada una de las organizaciones deben comenzar a trabajar, para saber cuánto les puede afectar este fallo de "otros".
 |
| Figura 2: Cuentas con dominios del IBEX 35 en la base de datos filtrada de Adobe |
En
Security By Default se alertaba de la cantidad de direcciones de correo corporativas utilizadas para la generación de cuentas de servicio en
Adobe,
lo que podría llevar, por una mala gestión de sus propias contraseñas, a
que un usuario hubiera utilizado la misma password en
Adobe que la que utiliza en su compañía.
Si el usuario de nuestra organización hubiera sido lo suficiente
descuidado como para utilizar la misma contraseña en ese servicio de
Internet para el que le han robado la password que en el sistema de la empresa, entonces tendríamos un problema. Por desgracia, la
reutilización de passwords es un mal endémico demasiado difícil de erradicar, tratado
también hace tiempo por xkcd.
Los datos de malware y botnets exfiltradas
Los equipos de seguridad de una empresa, cuentan con las políticas de
contraseñas, que obligan a no repetir contraseñas, a cumplir grados de
complejidad y a cambiarlas periódicamente, así, aunque un usuario repita
una contraseña en un servicio perdido de Internet, las probabilidades de que sea la misma que la que se usa en la empresa son menores.
 |
| Figura 3: Datos de cuentas filtrados de una botnet con HCStealer |
Esto mismo sucede
cuando en algún almacén de un malware o una
botnet de los amigos del
Fraude Online aparecen datos de de cuentas de usuarios de cualquier servicio de
Internet
con direcciones de correo electrónico pertenecientes a dominios de una
empresa. Solo hay que buscar un poco siguiendo las indicaciones que
aparecen en el
artículo de Enrique Rando para acabar dando con cuentas corporativas junto con la contraseña de algún servicio en
Internet que ha acabado siendo robado por cualquier
malware.
Imagen corporativa
Esto hace que como medida de seguridad los servicios de ciberseguridad o
las mismas empresas puedan monitorizar determinadas cuentas de correo
electrónico para saber si están cumpliendo o no las políticas de
seguridad corporativas.
Protección Personal
El que no se deban utilizar las cuentas de correo electrónico de la empresa para darse de alta en servicios de Internet
de uso personal es algo que no deberían prohibir tan siquiera, ya que
es de sentido común. Hay que tener en cuenta que una vez que la cuenta
de correo ya no sea del empleado la empresa podrá recuperar todas los
servicios asociados a ella.
Para uso en servicios al margen de la empresa, lo recomendable para una
persona es utilizar una cuenta de correo electrónico de registro de
servicios, pero que nunca sea la
cuenta de correo que actúa como piedra de clave, para que nunca caiga esa cuenta
cuando salgan los logins de cualquier base de datos de usuarios y contraseñas hackeada.
Tampoco deberían utilizarse cuentas de correo corporativas asociadas a
personas concretas para darse de alta en servicios, sino que deberían
utilizarse cuentas especiales de registro en servicios que además
estuvieran inventariadas y controladas, ya que deben perdurar - o no -
más allá que la vida profesional de un determinado empleado.
En definitiva, piénsate muy mucho qué identidad vas a dar de alta en un servicio en
Internet antes de hacerlo, que si lo haces muy a la ligera puedes estar poniendo en riesgo a tu empresa o a ti mismo.
http://www.elladodelmal.com
de Chema Alonso
